کارشناس مرکز عملیات امنیت (SOC) کیست و چه شرح وظایفی دارد؟

مرکز عملیات امنیت شبکه چیست و چرا به آن نیاز است؟

مرکز عملیات امنیت (SOC) سرنام Security Operations Center یک واحد مشخص در سازمان‌ها است که به اتفاقات امنیتی و حوادث مرتبط با زیرساخت‌های فناوری اطلاعات به شکل یکپارچه و مستمر پاسخ می‌دهد. به بیان دقیق‌تر، این مرکز برای پیدا کردن راه‌حل‌های مناسب برای کاهش اثرات و رفع مخاطرات چالش‌آفرین برای سازمان‌ها پیاده‌سازی می‌شود. در این بخش ابزارهایی برای مدیریت سامانه‌های امنیتی پیاده‌سازی می‌شوند که امنیت شبکه را از دو زاویه درون و برون سازمانی بررسی می‌کنند. برای نیل به این هدف، هر مرکز عملیات امنیت یک سری تجهیزات سخت‌افزاری و راه‌حل‌های نرم‌افزاری در اختیار دارد تا کارشناسان شبکه بتوانند همه چیز را زیر نظر گرفته و مدیریت جامعی را ارایه کنند. مرکز عملیات امنیت یک سازمان را باید خط دفاعی مستحکمی توصیف کنیم که برای کاهش مخاطرات سایبری پیاده‌سازی می‌شود تا سازمان در زمان برخورد با حمله‌ها و حوادث امنیتی، توانایی محافظت از اطلاعات حساس و منابع سازمانی را داشته باشد.

کارشناس مرکز عملیات امنیت کیست؟

یک کارشناس مرکز عملیات امنیت فردی است که نقش محوری در بحث تامین امنیت سازمان بازی می‌کند. این فرد مسئول تهیه برنامه عملیاتی سازمانی در حوزه امنیت، کنترل اوضاع و پیگیری مسائل مرتبط با امنیت اطلاعات در سازمان است. به‌طور معمول، افرادی که دوست دارند به عنوان یک کارشناس مرکز عملیات شبکه در سازمانی مشغول به کار شوند با چالش‌هایی روبرو هستند که آشنایی باید این موارد به شما در درک بهتر این موقعیت شغلی کمک فراوانی می‌کند. امنیت اطلاعات اهمیت زیادی برای همه سازمان‌ها دارد، زیرا اطلاعات اصلی‌ترین و مهم‌ترین دارایی هر سازمانی هستند و یک کارشناس مرکز عملیات امنیت باید در زمینه ارایه راه‌حل‌های دفاعی هوشمندانه کار کند. از مهم‌ترین چالش‌هایی که یک کارشناس مرکز عملیات امنیت شبکه با آن‌ها روبرو می‌شود به موارد زیر باید اشاره کرد:

• روبرو شدن با چالش‌های امنیتی: یک کارشناس مرکز عملیات امنیت باید در هر زمان و شراطی آماده رویایی با حمله‌ها، بدافزارها و سایر تهدیدهای سایبری را داشته باشد. متنوع بودن حمله‌های سایبری و ظهور روش‌های خلاقانه حمله به زیرساخت‌ها از مهم‌ترین چالش‌هایی است که یک کارشناس مرکز عملیات امنیت با آن روبرو است.
• دانش جدید و پویا: پیچیدگی مسائل امنیت اطلاعات و به‌کارگیری روش‌های خلاقانه و برخواسته از فناوری‌های نوین باعث شده تا کارشناسان مرکز عملیات امنیت مجبور شوند به‌طور دایم دانش خود در این زمینه را به‌روزرسانی کنند. بنابراین نباید مطالعه را نادیده بگیرید و همواره به فکر کسب مباحث جدید باشید.
• استرس زیاد: تقریبا در بیشتر آگهی‌های شغلی به این نکته اشاره می‌شود که افراد باید توانایی کار گردشی 24*7 را داشته باشند. مخاطره زیاد، فشاری کاری بالا و استرس در این شغل زیاد است. بنابراین اگر تحمل کار در شرایط سخت را ندارید، بهتر است به فکر این عنوان شغلی نباشید.

بر مبنای مواردی که به آن‌ها اشاره کردیم باید بگوییم یک کارشناس مرکز عملیات باید توانایی مانیتورینگ، تحلیل و بررسی و گزارش لحظه‌ای رخدادهای امنیتی برای شناسایی حملات و وقایع امنیتی را داشته باشد. این فرد باید توانایی همکاری با تیم مدیریت رخداد برای کشف علت ریشه‌ای وقوع رخدادهای امنیتی و ارائه راهکارهایی برای کاهش تاثیرات حمله‌ها را داشته باشد. درباره جدیدترین تکنیک‌های حمله‌های سایبری دانش کافی داشته باشد، باید توانایی کار با ابزارهای SOC از جمله SIEM و ارائه گزارش‌های روزانه را داشته باشد. با مباحث مرتبط با ارزیابی آسیب‌پذیری و تست نفوذ وب، سیستم و شبکه آشنا باشد. در صورت لزوم توانایی پیاده‌سازی روال‌های امنیتی تدوین شده در مواجهه با رخدادها، بهینه‌سازی و توسعه  SIEM، تحلیل بدافزارها و ارائه گزارش عملکرد آن‌ها، تحلیل ایستا و پویا روی کد برنامه‌ها، تست نفوذ نرم‌افزارها و زیرساخت‌های سازمان و ارائه گزارش فنی، ارائه گزارشات و داشبوردهای کارآمد جهت تحلیل رخدادهای امنیتی را داشته باشد.

یک کارشناس مرکز عملیات امنیت چه وظایفی دارد؟

به‌طور معمول، شرح وظایف یک کارشناس مرکز عملیات به شرح زیر است:

• توانایی کار با ابزارهای SIEM .
• ردیابی حملات و گزارش تهدیدها
• رسیدگی به ریسک‌ها و تهدیدها
• بررسی عمیق از طریق SIEM و سایر ابزارهای امنیتی
• نظارت بر فرآیندهای  مرکز عملیات امنیت

یک کارشناس مرکز عملیات امنیت به چه مهارت‌هایی نیاز دارد؟

به‌طور معمول، سازمان‌ها به دنبال جذب افرادی هستند که حداقل مدرک کارشناسی در رشته‌های مهندسی کامپیوتر یا فناوری اطلاعات را داشته باشند. برخی سازمان‌ها افرادی را جذب می‌کنند که حداقل سه سال سابقه کار در حوزه امنیت را داشته باشند. علاوه بر این، انتظار دارند متقاضیان در زمینه‌های زیر مهارت‌های فنی لازم را داشته باشند:

• آشنایی با مفاهیم مرکز عملیات امنیت SOC
• تسلط به شبکه‌های کامپیوتری، تجهیزات شبکه، سرویس‌ها و پروتکل‌ها
• تسلط به مفاهیم دوره‌های مایکروسافت (MCITP ) و سیسکو (CCNA)
• تسلط به سرویس‌های امنیتی شامل فایروال و VPN
• تسلط به سیستم‌عامل لینوکس در حد دوره  LPIC1
• تسلط کامل به مبانی امنیت اطلاعات
• تسلط بر راه‌حل‌های  SIEM
• تسلط بر دانش تحلیل گزارش
• توانایی تحلیل آسیب‌پذیری‌ها، تهدیدات و حملات
• آشنایی با تجهیزات امنیت شبکه مانند Firewall، WAF
• توانایی کار با سیستم‌عامل لینوکس
• توانایی گزارش‌نویسی و مستند‌سازی 

در کنار مهارت‌های یاد شده، برخی سازمان‌ها از متقاضیان این عنوان شغلی انتظار دارند در ارتباط با مهارت‌های زیر نیز تخصص‌های لازم را داشته باشند:

• توانایی کار به صورت شیفتی و نوبت کاری
•  تسلط به خواندن انواع گزارش‌ها و توانایی تحلیل گزارش‌های خام و بسته‌های مبادله شده در شبکه.
• تسلط بر روش‌های دفاع در برابر حملات سایبری و شناخت کامل حملات رایج
• تسلط بر مفاهیم Threat Hunting و IOC ها
• آگاهی کافی در مورد استاندارد های امنیت اطلاعات و امنیت پرداخت مانند ISO 27000 و NIST و PCI (هنگامی که قصد ورود به شرکت‌های فعال در حوزه‌های مالی را دارید).
• تجربه کافی در زمینه انجام اسکن آسیب‌پذیری و تست نفوذ و ارائه راهکار.
• اطلاعات کافی در مورد استانداردهای امنیتی مانند SANS ، OWASP  در ارتباط با تست نفوذ.
• آگاهی نسبی در ارتباط با  Hardening و امن‌سازی
• داشتن گواهینامه‌های امنیتی مثل سکوریتی پلاس، CCNA Security ، CCNP Security ، LPIC 2 ، ISO 27001: 2013 ، CEH  و نمونه‌های مشابه.
• تسلط به فرآیند های  Incident Response.
• آشنایی کافی با راه‌حل‌های SIEM و ابزارهای Log Analyzer مثل اسپلانک، ArcSight  و.....
•  آشنایی با حملات مختلف انجام شده در لایه‌های مختلف مدل استاندارد TCP/IP.
• آشنایی نسبی با زبان‌های برنامه‌نویسی Python و Bash.
• آشنایی با  IDS/IPS, Firewall, Web Content Filtering, Data Leak Prevention (DLP), Proxy.